空手套白狼 —— YIEDL 被黑分析
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
2024年4月24日,慢雾安全团队报告称,BSC链上的YIEDL项目遭到攻击,攻击者获利约30万美元。攻击者利用redeem函数未验证用户输入的外部参数,实现未授权资产转移。慢雾安全团队建议项目方在开发中实施严格的参数验证机制,避免类似事件再次发生。
🎯
关键要点
- 2024年4月24日,慢雾安全团队报告BSC链上的YIEDL项目遭到攻击,攻击者获利约30万美元。
- 攻击者利用redeem函数未验证用户输入的外部参数,实现未授权资产转移。
- 攻击者地址为0x322696471792440499b1979e0a440491e870667a,被攻击合约地址为0x4edda16ab4f4cc46b160abc42763ba63885862a4。
- 攻击者通过恶意构造外部参数,触发合约中的资产兑换操作,最终将WBNB-ADA Token兑换为BNB。
- 慢雾安全团队建议项目方实施严格的参数验证机制,确保外部调用符合预期行为,并进行彻底的安全审计。
❓
延伸问答
YIEDL项目是如何被攻击的?
YIEDL项目被攻击是因为其redeem函数未能验证用户输入的外部参数,攻击者利用这一漏洞实现了未授权的资产转移。
攻击者从YIEDL项目中获利多少?
攻击者从YIEDL项目中获利约30万美元。
攻击者使用了什么地址进行攻击?
攻击者使用的地址是0x322696471792440499b1979e0a440491e870667a。
慢雾安全团队对YIEDL项目的建议是什么?
慢雾安全团队建议项目方实施严格的参数验证机制,并进行彻底的安全审计,以避免类似事件再次发生。
攻击者是如何触发资产兑换操作的?
攻击者通过恶意构造外部参数,调用redeem函数并传入未经过验证的dataList参数,从而触发资产兑换操作。
YIEDL项目的被攻击合约地址是什么?
被攻击的合约地址是0x4edda16ab4f4cc46b160abc42763ba63885862a4。
➡️
